你的加密代码能经受住Google的攻击吗?谷歌公司发布Wycheproof项目,这款开源工具旨在针对各类已知攻击对现有高人气加密软件库进行测试。
谷歌公司推出的Wycheproof项目是一款开源加密库测试工具,意在帮助各开发团队发现当前各高人气加密软件库中的安全漏洞。
该项目在说明中指出,“Wycheproof项目针对各类已知攻击对加密库进行测试。其由谷歌安全团队负责开发与维护,但并不属于谷歌公司的官方产品。”
“在谷歌公司,我们经常使用各类第三方加密软件库。遗憾的是,立足密码学层面,任何微波的错误都有可能带来灾难性的后果,而长久以来我们发现各类加密库都存在着此类严重问题。”
Wycheproof项目完全利用Java语言开发而成,且可对当前各类高人气加密库进行测试,具体包括AES-EAX、AES-GCM、DH、DHIES、DSA、ECDH、ECDSA、ECIES以及RSA等。谷歌公司的专家们已经添加了80多种测试场景,并借此在RSA与DSA当中找到超过40项bug。
谷歌公司的研究人员们利用此单一平台涵盖了超过80项测试场景,面向各类针对加密库方案的已知攻击场景。谷歌方面希望分享自身经验,从而提升开发流程中的安全性水平。
谷歌公司指出,“Wycheproof项目得名于Mount Wycheproof(威奇普鲁夫山),即世界上最小的山峰。此项目的主要意图在于建立一个可以实现的目标。作为目标的山峰越小,成功登顶的可能性就越高。”
开发这套平台的研究人员们解释称,Wycheproof项目能够帮助他们发现其项目中所使用的各类第三方加密软件库内的bug。该测试工具已经辅助其成功找到了超过40项Bug。
谷歌公司进一步补充称,“我们设置了80多种测试场景,并借此发现超过40项Bug。举例来说,我们发现可以还原得到广泛采用的DSA与ECDHC方案中的私钥。”
Wycheproof项目由谷歌安全团队负责维护,不过其并不属于谷歌公司的官方产品。这是一个开放项目,意味着每个人都能够分享其经验并将其添加至自己的测试用例当中。
只有存在漏洞的相关库的开发团队对其进行补丁修复后,维护者才会将成果添加到Wycheproof项目当中。
各位安全专家们发现的Bug将被提交至谷歌安全小组并接受审查。如果受影响软件库的维护者们建立有bug赏金项目,那么提交者还能够获得对应奖励。